CPS 234 Compliance Solution

Vem bör följa CPS 234?

CPS 234 täcker alla APRA-reglerade enheter, såsom:

• Banker, kreditföreningar och andra auktoriserade insättningsinstitutioner (ADI)
• Livförsäkringsbolag
• Pensionsfonder
• Allmänna försäkringsbolag
• Vänliga sällskap
• Privata sjukförsäkringsbolag
• Icke-operativa holdingbolag

Enheter som nämns ovan har viktig personlig identifierbar information och skyddad hälsoinformation som cyberattacker skulle riktas mot under en attack.

CPS 234:s informationssäkerhetskrav

Enligt CPS 234 har du krav på informationssäkerhetskapacitet som du måste uppfylla.

Detta kräver:

• Din organisation upprätthåller en informationssäkerhetskapacitet som motsvarar dina informationstillgångars storlek och omfattning av hot
• Utvärdera informationssäkerhetskapaciteten hos relaterade enheter eller tredje parter som hanterar informationstillgångar på uppdrag av organisationen
• Se till att din organisation upprätthåller sin informationssäkerhetskapacitet och uppdaterar sårbarheter och hot till följd av förändringar av tillgångar eller miljö

För att uppfylla dessa krav granskar reglerade enheter vanligen huruvida resurserna är tillräckliga, inklusive finansiering och personalresurser och snabb tillgång till nödvändiga kompetenser.

CPS 234:s informationssäkerhetspolicykrav

Enheter som regleras av APRA måste upprätthålla en policy för informationssäkerhet som återspeglar deras exponering för sårbarheter och hot. Ansvaret för alla parter som har en skyldighet att upprätthålla informations- och datasäkerhet bör styras av din organisations policy.

Ramverket är vanligtvis uppbyggt som en hierarki med policyer på högre nivå som stöds av riktlinjer och procedurer.

Det finns många gemensamma områden som tas upp i policyramen, såsom:

• Identifiering, auktorisering och beviljande av tillgång till datatillgångar
• Informationssäkerhetskrav bör beaktas i varje skede av en tillgångs livscykel (från anskaffning till avveckling och destruktion)
• Hantering av informationssäkerhetsteknik, inklusive brandväggar, anti-malware-programvara, intrångsdetektering, intrångsförebyggande programvara, kryptografiska system och övervakningsverktyg
• En övergripande informationssäkerhetsarkitektur utformas genom att identifiera tillvägagångssättet för att skapa din IT-miljö ur ett säkerhetsperspektiv
• Övervakning och incidenthantering innebär att identifiera, klassificera, rapportera och eskalera incidenter. Det inkluderar också att bevara bevis för utredningsändamål
• Förväntningar vid användning av tredje part och närstående för att upprätthålla informationssäkerhet
• Acceptabel användning av informationstillgångar som följer slutanvändarnas ansvar, inklusive personal, tredje part, medarbetare och kunder
• Rekrytering och screening av personal och entreprenörer
• Mekanismer för att bedöma och mäta efterlevnad och den pågående effektiviteten av ramverket för informationssäkerhet

Detta ramverk skulle vanligtvis vara förenligt med andra enhetsramverk, såsom riskhantering och tjänsteleverantörshantering.

CPS 234:s krav för identifiering och klassificering av informationstillgångar

APRA-reglerade enheter är skyldiga att klassificera informationstillgångar, inklusive sådana som förvaltas av närstående parter och tredje parter.

Detta inkluderar infrastruktur och kringsystem, såsom miljökontrollsystem och fysiska passersystem. Det omfattar även informationstillgångar som hanteras av tredje part eller närstående.

Relationerna mellan känsliga eller kritiska informationstillgångar och andra tillgångar som kan ha mindre betydelse men som kan användas för att bryta mot säkerheten för dessa tillgångar.

Dessutom bör detta återspegla i vilken utsträckning informationssäkerhetsincidenter har potential att påverka – ekonomiskt eller på annat sätt – en enhet eller dess kunder.

Företag måste ha en klassificeringsmetod för att märka vad som utgör en informationstillgång för att säkerställa att intressenter är informerade och medvetna. Denna metod ger också sammanhang om granularitetsöverväganden och hur tillgångar klassificeras beroende på deras kritikalitet eller känslighet. Observera att tillgångar kan ges olika betyg för kritikalitet och känslighet.

Det är vanligt att företag utnyttjar sina befintliga konsekvensanalyser för affärskontinuitet – som vanligtvis bedömer kritikalitet och andra känsliga processer – för att utföra känslighetsanalysen.

CPS 234:s kontrollkrav för informationssäkerhet

För att följa CPS 234 måste APRA-reglerade enheter implementera informationssäkerhetskontroller för att skydda sina datatillgångar omedelbart och proportionellt mot hotet som de står inför, motsvarande:

• Identifiera befintliga och växande sårbarheter och hot som kan vara avgörande för viktiga datatillgångar
• Livscykelstadiet för en informationstillgång
• De potentiella konsekvenserna av en datasäkerhetsincident

Vilka är CPS 234s Incident Management-krav?

Enligt CPS 234 måste alla APRA-reglerade enheter ha robusta mekanismer för att upptäcka och reagera på informationssäkerhetsincidenter så snart som möjligt.

Det finns många detekteringsmekanismer för informationssäkerhet, inklusive skannings-, avkännings-, övervaknings- och loggningslösningar. Dessa säkerhetskontroller kommer att vara mer robusta och mer varierade beroende på effekterna av en potentiell säkerhetsincident, vanligtvis täcker dessa breda kategorier:

• Fysisk hårdvara
• Aktiviteter på högre nivå som betalningar
• Ändringar av användaråtkomst

Vilka är CPS 234:s kontrolltestkrav?

CPS 234 kräver att reglerade enheter utför systematiska tester av informationssäkerhetskontroller av en karaktär och frekvens som motsvarar:

• Den takt med vilken nya sårbarheter och hot uppstår
• Riskerna förknippade med att exponeras för miljöer där enheten inte kan tillämpa sina policyer för informationssäkerhet
• Vikten och känsligheten hos informationstillgången/-erna
• Konsekvenserna av en datasäkerhetsincident
• Betydelsen och frekvensen av förändringar av informationstillgångar

Säkerhetskontroller måste testas minst årligen eller närhelst det sker en väsentlig förändring i informationstillgångar eller affärsmiljön så att du kan veta om de fortfarande är effektiva och giltiga. För att säkerställa att testerna är framgångsrika är det viktigt att tydligt definiera kriterierna för framgång och när omtestning kommer att behövas.

Testning bör göras av lämpligt skickliga, oberoende specialister som inte har några intressekonflikter och som kan ge en rättvis utvärdering.

Vilka är CPS 234s internrevisionskrav?

Tillförlitlig informationssäkerhetskontroll måste tillhandahållas av kunnig personal. Dessutom måste internrevisionsfunktionen bedöma den informationssäkerhetskontroll som tillhandahålls av närstående eller tredje parter i fall där:

• En informationssäkerhetsincident som påverkar en enhets informationstillgångar kan ha en långsiktig ekonomisk påverkan och förmågan att skada kunder
• Internrevisioner avser att förlita sig på den informationssäkerhetskontroll som tillhandahålls av den närstående parten eller tredje parten

Om bedömningen visar på en brist eller om det inte finns någon garanti för att kraven uppfylls tas frågan vanligen upp med styrelsen för prövning.

När måste APRA meddelas enligt CPS 234?

APRA måste informeras så snart som möjligt och senast 72 timmar efter att enheten har fått kännedom om en säkerhetsincident.

Det här är incidenter som:

1. Kunde ha haft en betydande inverkan på eller väsentligt kunna påverka finansiellt eller icke-finansiellt intressen hos insättare, försäkringstagare, förmånstagare och andra kunder
2. Har informerat andra tillsynsmyndigheter i Australien eller andra jurisdiktioner

När de underrättar APRA förväntar de sig att information lämnas, till exempel:

• Namn på reglerad enhet
• Datum och tid för händelsen
• När händelsen bedömdes som väsentlig
• Typ av incident
• Beskrivning av händelsen
• Vilken status är nu
• Vidtagna eller planerade åtgärder

APRA ska informeras så snart som möjligt och senast tio arbetsdagar efter att du får kännedom om en svaghet i informationssäkerhetskontrollen som företaget inte kan åtgärda i tid.

Vilka skillnader finns det mellan CPS 234 och ISO 27001?

En viktig skillnad mellan de två standarderna är hur de tillämpas. Organisationer som uppnår ISO 27001-certifiering måste förnya sin certifiering vart tredje år, med regelbundna övervakningsrevisioner under denna period. CPS 234 har inget certifikat; istället har APRA många formella och informella verkställighetsverktyg.

Icke-formella tillvägagångssätt inkluderar att arbeta med företag för att identifiera och ta itu med problem innan de hotar deras förmåga att uppfylla sina löften.

Ändå är APRA beredd att vidta verkställighetsåtgärder när så är lämpligt – detta kan inkludera domstolsbaserade åtgärder eller instruera företag att vidta eller stoppa särskilda åtgärder.

Även om ISO 27001 är erkänt globalt, skapade APRA CPS 234-standarden för att möta det växande behovet av cybersäkerhet bland enheter inom finansbranschen. ISO 27001 är en mycket mer omfattande informationssäkerhetsstandard och den gäller för företag inom olika sektorer oavsett storlek, typ eller plats.

CPS 234 skapades för att fungera unisont med ISO/IEC 27001, med krav i linje med klausuler och säkerhetskontroller som beskrivs i ISO 27001. Båda standarderna är utformade för att öka en organisations informationssäkerhet. Alla företag eller organisationer som är ISO 27001-ackrediterade bör ha lättare att uppfylla CPS 234-kraven.

Hur kan företag förberedas för revisioner av CPS 234?

Som du kan se finns det mycket att göra för att säkerställa efterlevnad. Det mest hanterbara kravet att uppfylla är att se till att all cybersäkerhetspersonal har tydligt definierade, formulerade och kommunicerade ansvarsområden i hela organisationen.

En av de största utmaningarna för efterlevnad av CPS 234 kan potentiellt vara bristen på riktlinjer och praktisk tillämpning när det kommer till tredje part.

Hur ISMS.online Hjälp

Vår plattform kommer med olika förbyggda ramverk som du kan anta, anpassa eller lägga till, beroende på din organisations unika behov. Eller så kan du enkelt bygga din egen för skräddarsydda efterlevnadsprojekt.